Afficher uniquement le trafic HTTP dans Wireshark

23

Comment puis-je filtrer le trafic qui n'est pas HTTP dans Wireshark, afin qu'il ne montre que le trafic HTTP, mais pas, TCP, DNS, SSDP, etc.

entrez la description de l'image ici

sashoalm
la source
1
Le trafic HTTP EST généralement du trafic TCP; ce n'est pas comme si HTTP et TCP étaient dans la même couche réseau. La colonne Protocole montre simplement la couche de protocole la plus élevée que Wireshark comprend; si un paquet TCP a juste un ACK et aucune donnée, ou que Wireshark ne sait pas comment disséquer les données, il le montrera comme TCP, mais s'il sait comment le disséquer, il montrera ce protocole.

Réponses:

31

Dans le champ de filtre, tapez http(en minuscules!). Testé avec WireShark Portable 1.10.7

entrez la description de l'image ici

Quelques filtres de base

  • !http affiche tout le trafic qui n'est PAS http
  • ip.src != 196.168.1.1 affiche le trafic qui ne provient PAS de cette source IP
  • ip.dst == 196.168.1.1 affiche le trafic vers cette destination IP
  • ip.addr == 196.168.1.1 affiche tout le trafic qui a l'IP spécifique comme source OU destination
nixda
la source
1
D'accord, cela fonctionne, mais il affiche les champs http et ssdp, ce qui est étrange. Quand j'ai essayé de taper juste "ssdp", il a dit qu'aucun tel protocole n'existe.
sashoalm
Quelle version de Wirehark utilisez-vous? Le wiki Wireshark dit que vous ne pouvez pas filtrer pour SSDP . Solution de contournementudp.dstport == 1900 && http
nixda,
Version 1.8.2. De plus, lorsque j'ai tapé "tcp" pour le filtre, il montrait les champs TCP, TLSv1.1 et HTTP.
sashoalm
Si vous tapez "tcp" comme filtre, il affichera tout le trafic TCP, qu'il s'agisse de HTTP s'exécutant sur TCP, SSL / TLS s'exécutant sur TCP ou autre chose s'exécutant sur TCP.
Et si vous ne voyez que le protocole: 0x0800
SuperUberDuper
1

Si vous souhaitez filtrer "adresse IP" et par exemple "protocole http", vous devez saisir:

ip.src==192.168.109.217&&http

sans espaces entre.

Bettelbursche
la source